Virusas, patekęs į „Windows“ kompiuterius, atlieka keletą patikrinimų, ar jo neaptiko antivirusinės programos. Jei tik jis pastebi, kad jo kodą bandoma susieti su kenkėjiška veikla, pradedamas sistemos griovimo procesas.
Savo destrukciniu pobūdžiu naujasis virusas labai panašus į tą, kuris 2013 m. buvo naudojamas kibernetinėms atakoms prieš P. Korėją, taip pat į 2014 m. aptiktą kenkėją, naudotą puolimui prieš kompanijos „Sony“ sistemas.
Aptiktas virusas iš pradžių bando atakuoti duomenų kaupiklio įkrovos įrašą („Master Boot Record“, MBR); jei gauti prieigos prie jo nepavyksta, virusas naikina vartotojų paskyros kataloge esančius failus, juos šifruodamas atsitiktiniu RC4 raktu.
Vėliau kompiuteris perkraunamas ir MBR patenka į begalinį persikrovimų ciklą, kuris neleidžia operacinei sistemai užsikrauti. Tuomet ekrane rodomas užrašas „Carbon crack attempt, failed“.
Patekęs į kompiuterį, virusas save išpakuoja, tuo tarpu 97 proc. jo turinio sudaro failai – „apgaulės“, t.y. 75 įvairūs paveiksliukai ir 8000 dėmesį nukreipiančių funkcijų, kuriuos iš tikrųjų praktiškai nenaudojamos. Jos tiesiog turėtų nukreipti antivirusinių programų dėmesį.
„Rombertik“ bando išvengti izoliavimo į „smėlio dėžę“ (sandbox), kai jo kodas yra tikrinamas. Virusas šiuo atveju pradeda įrašinėti į atmintį po vieną baitą duomenų 960 mln. kartų, ir jei antivirusinė bando užfiksuoti visus įrašymo ciklus, failo dydis viršija 100 GB.
